私有网络产品使用手册.docx
《私有网络产品使用手册.docx》由会员分享,可在线阅读,更多相关《私有网络产品使用手册.docx(25页珍藏版)》请在冰点文库上搜索。
私有网络产品使用手册
私有网络产品使用手册
1.产品简介
1.1产品介绍
私有网络是一块用户可自定义的网络空间,您可以在私有网络内跨可用区部署云主机、负载均衡、数据库、Nosql快存储等云服务资源。
您可自由划分网段、制定路由策略并指定私有网络内云资源IP。
私有网络可以配置公网网关来访问Internet,同时也支持配置公网或专线接入搭建混合云,私有网络之间网络逻辑隔离。
1.2基本概念
1.2.a私有网络
●一块用户自定义的网络空间,与其他网络逻辑隔离。
●私有网络为地域概念,您可以在私有网络内部署隶属于多个可区的子网。
1.2.b子网
子网是对私有网络的划分,您需要先创建子网然后向子网内添加云计算资源,私有网络内的多个子网之间内网互通。
1.2.c路由表
●路由表包含一系列路由规则,子网通过路由表判断网络流量的导向。
●每个子网必须与路由表关联,且只能关联一个路由表,每个路由表可以关联多个子网。
1.2.d公网网关
●公网网关是开启了转发功能的云主机,位于非相同子网的云主机可以通过此网关转发访问Internet。
1.2.eVPN网关
●VPN网关用户在私有网络与用户端建立加密的网络通道,建立安全可靠的混合云连接。
1.2.f对端网关
对端网关指用户的私有云机房,用户只需要提供机房的自定义名称及公网IP即可建立一个对端网关。
私有网络的VPN网关可与多个对端网关建立带有加密的VPN网络通道。
1.2.gVPN通道
VPN网关和对端网关建立后,即可以建立VPN通道。
当前VPN通道,支持IPsec加密协议,可满足绝大多数VPN连接的需求。
1.3规格限制
资源
限制
说明
私有网络/地域
5
对端网关/地域
20
VPN通道数/地域
20
子网/VPC
10
路由器/VPC
1
路由表/VPC
10
路由策略/路由表
20
VPN网关/VPC
1
VPN通道数/对端网关
1
网段数/VPC通道
50
2.操作指南
2.1私有网络与子网
一个私有网络包含多个子网,您需要同时创建私有网络和子网后才可以向私有网络的子网内添加云服务资源。
2.1.a私有网络
2.1.a.i创建私有网络
您可以在控制台创建私有网络,创建时需要同步创建初始子网,以方便您向私有网络内添加云服务资源。
在私有网络控制台选择您想要创建私有网络的地域,然后点击新建创建您的第一个私有网络。
新建私有网络要求您指定私有网络和子网的CIDR网段,同时确定子网所在可用区,我们建议您创建时为私有网络和子网留出足够的IP资源以防业务扩容导致网络资源不足。
关于CIDR
CIDR由用户指定的独立网络空间地址块,通过IP和掩码结合,实现对网络的整体划分。
以10.1.0.0/16为例,斜杠左边为网络块的IP,斜杠右边为网络块的掩码。
通过设定掩码的大小,可以调整网络块的大小设定。
网络块包括的IP数=2^(32-掩码),因而10.1.0.0/16网络块最多包含65536个IP地址。
私有网络的掩码支持/28至/16之间,也就是您的私有网络空间最少包含16、最大包含65536个IP地址。
私有网络支持三个网段的内网IP:
10.a.0.0/8(a属于0~255)、172.b.0.0/16(b属于16到31)、192.168.0.0/16。
私有网络的CIDR可以为以上三个网段,或者是网段中的一部分。
注:
子网的CIDR和可用区的选择参考“创建子网”章节。
2.1.a.ii调整私有网络的大小
私有网络一旦创建,无法更改网络块大小。
如果您的私有网络容量无法满足需求,您必须退还私有网络中的所有计算资源,并重新创建较大的私有网络。
2.1.a.iii删除私有网络
您可以随时删除私有网络,但需要提前删除私有网络内的云计算资源,例如云服务器、云数据库、云负载均衡等。
另外有如下几种情况可能导致您私有网络的删除失败:
●有关于此私有网络未完成支付的订单
●私有网络内含有欠费停机的云服务器(包含已经隔离删除的云服务器)
●私有网络中有部分操作处于流程中
2.1.b子网
子网是对私有网络的划分,您需要先创建私有网络后,才可以在私有网络中划分子网。
私有网络的创建请参考“创建私有网络”章节。
2.1.b.i创建子网
在私有网络控制台子网页可以创建子网。
●私有网络可以有多个子网,每个子网的网络块均为私有网络的子集,且多个子网的CIDR网络块不可以重叠。
●子网有可用区属性,同一子网内的云主机只能属于子网标记的可用区。
●每个子网关联关联有一个路由表,通过设定路由表可以指定子网的网络路由。
2.1.b.ii调整子网的大小
子网一旦创建,无法更改网络块大小。
如果您的子网容量无法满足需求,您必须退还子网中的所有计算资源,并重新创建较大的子网。
2.1.b.iii子网路由
每个子网都必须关联一个路由表,这个路由表可以指定子网的出站路由。
您可以更改实时子网关联的路由表,或者更改路由表的内容。
注:
关于路由表的介绍,详情请参照“路由表”章节。
2.1.b.iv删除子网
您可以随时删除子网,但需要提前删除子网内的云计算资源,例如云服务器、云数据库、云负载均衡等。
另外有如下几种情况可能导致您子网的删除失败:
●有关于此子网未完成支付的订单
●子网内含有欠费停机的云服务器(包含已经隔离删除的云服务器)
●子网中有部分操作处于流程中
2.1.c向私有网络中添加云服务
您创建好私有网络并划分子网后,便可以向私有网络中添加云服务。
您需要登录Qcloud官网,并有可用的私有网络,才可以在云资源购买页看到网络一项,如下图所示:
您只需选择网络和对应子网即可,其他购买流程与基础网络中产品保持一致。
注:
您需要确保子网预留了足够的内网IP,否则资源将无法成功分配。
2.2私有网络的联网
本章主要介绍私有网络的联网设置。
2.2.a私有网络的IP
私有网络的IP资源分为内网IP和公网IP两种:
●内网IP为私有网络内IP,位于资源所在子网CIDR地址段内;
●公网IP是云资源主动访问Internet资源的出口,在云服务器购买时随机分配。
2.2.a.i内网IP的分配
私有网络内资源在购买时,将根据资源所在子网可用IP池中随机分配,您可以在资源成功创建后根据需求自定义内网IP。
2.2.a.ii自定义内网IP
您可以在私有网络详情页,自定义内网IP分配,目前IP自定义服务仅支持云服务器。
具体配置页如下图所示:
您可以为云计算资源跨子网指定内网IP,前提是两个子网需要属于相同的可用区。
2.2.a.iii公网IP与Internet访问
私有网络内的云服务器可以通过如下几种方式与Internet向关联:
●公网IP:
云服务器可以通过自带公网IP直接与Internet互访,公网带宽以云服务器购买配置为准;
●公网负载均衡:
用于对外提供用户主动访问的服务;
●公网网关:
无公网IP主机主动外访的路由转发。
2.2.b路由表
路由表包含了一系列路由规则,可以用于网络流量方向判断,每个私有网络子网必须与一个路由表关联,一个路由表可以关联多个子网。
2.2.b.i路由表的组成
路由表由默认和自定义路由规则组成,其中每条路由规则包含了三个参数:
●目的端:
目的网段描述(仅支持网段格式,如果希望目的端为IP,可设置掩码为32,示例:
172.16.1.1/32),目的端不可以为路由表所在私有网络内的IP段;
●下一跳类型:
私有网络下一跳类型支持“公网网关”、“VPN网关”、“专线网关”等类型,您需要先创建此类网关,否则无法拉取到此下一跳类型;
●下一跳:
指定具体跳转至哪个下一跳网关。
所有路由表包含一条默认local路由,含义为私有网络内网互通。
2.2.b.ii路由表的网络流量排序
路由表中存在多条路由规则时,路由优先级由高至低分别为:
●私有网络内流量:
私有网络内流量最优先匹配
●最精确路由:
非私有网络内流量根据最精确路由规则匹配
●公网IP:
路由规则均匹配失效时,通过公网IP对Internet进行外访
2.2.b.iii默认路由表
您在创建私有网络时,将为您创建一个默认路由表,新建子网默认与默认路由表相关联。
您可以在路由表详情页修改默认路由表的路由详情,具体如下图所示:
2.2.b.iv自定义路由表
您在私有网络创建后,可以创建自定义路由表。
和默认路由表一样,您可以编辑自定义路由表规则,并将子网关联至自定义路由表。
2.2.c公网网关
公网网关是开启了路由转发功能的云服务器,您可以在购买云服务器的时候标记,我们将后台为您开启转发功能。
公网网关只能转发非所在子网的路由转发请求,请慎重选择公网网关的所在子网。
2.2.c.i公网网关的购买
公网网关和云服务器一样,在云服务器购买页进行购买,如下图所示:
当您选择了私有网络和子网后,您即可选择标记是否开启“用作公网网关”功能。
2.2.c.ii公网网关的转发配置
公网网关购买发货成功后,您即可在路由表中增加下一跳为“公网网关”的路由策略。
●您只需保持公网网关主机的正常运行,即可实现路由转发功能;
●如果需要在公网网关上做NAT配置,您需要在主机上自行配置;
●路由系统不会检查公网网关的健康性,当公网网关处于非运行中状态时,路由转发功能可能会失效。
2.3私有网络的IPsecVPN接入
IPsecVPN是一种通过公网加密通道连接私有网络的方式。
2.3.a基本组成
私有网络IPsecVPN接入分为以下几个组成部分:
●VPN网关:
私有网络的IPsecVPN网关,需要在控制台进行创建
●对端网关:
连接至您的IPsecVPN服务网关
●VPN通道:
加密的公网IPsecVPN通道
2.3.b配置方式
IPsecVPN可以在控制台实现全自助配置,当然您需要在您的IPsecVPN网关上完成协同配置,通道才可以生效。
2.3.b.i创建VPN网关
您可以在私有网络控制台VPN网关页创建VPN网关,如下图所示:
选择合适的配置并付款后,VPN网关即可正常运行。
2.3.b.ii创建对端网关
在VPN通道创建前,需要在对端网关二级页创建对端网关,如下图所示:
您可以在创建对端网关的同时创建VPN通道,也可以在创建对端网关后再创建。
2.3.b.iii配置VPN通道
您可以在VPN通道页或者对端网关创建页建立新的VPN通道,如下图所示:
VPN通道创建完成后,还可以VPN通道配置详情页中进行高级的IPsec配置,如下图所示:
2.3.b.ivIPsecVPN的冗余备份
腾讯云IPsecVPN网关由双虚拟子机组成,单子机故障业务会自动切换至备份子机,切换时间小于1.5秒。
2.3.b.v下载配置文件
在完成了所有VPN通道配置之后,您需要下载VPN通道的配置文件,在您自有的IPsecVPN网关中加载配置,才可实现VPN通道的网络互通。
3.常见问题
问:
什么是私有网络?
私有网络是一块可用户自定义的网络空间,您可以在私有网络内部署云主机、负载均衡、数据库、Nosql快存储等云服务资源。
您可自由划分网段、制定路由策略。
私有网络可以配置公网网关来访问Internet,同时也支持配置公网或专线接入搭建混合云,私有网络之间网络逻辑隔离。
问:
私有网络有哪些组成部分?
a)私有网络
一块用户自定义的网络空间,与其他网络(基础网络、其他私有网络、Internet等)逻辑隔离,您可以在地域内跨可用区部署私有网络。
b)子网
子网是对私有网络的划分,子网间内网互通,云主机可以通过内网IP互访。
d)公网网关(带有网关标记的云服务器)
公网网关是一台打标的云主机,私有网络内其他云主机可以通过公网网关转发访问Internet。
f)路由表
通过设定路由用户可以将指向特定网段的数据流,包括公网网关、VPN网关、专线网关等。
g)VPN网关
私有网络通过VPN网关与用户IDC主机建立公网VPN通道。
h)对端网关
VPN通道中,用户IDC的连接网关。
i)VPN通道
私有网络与用户IDC之间基于公网的加密链接通道。
j)对等连接
私有网络间的流量访问通过对等连接和路由实现。
k)专线网关
私有网络通过专线与用户IDC连接的网关入口。
问:
基础网络与私有网路有什么区别,为什么使用私有网络?
基础网络与私有网络是腾讯云上的两种网络模式
功能
基础网络
私有网络(VPC)
用户关联
多用户共用
用户私有
网络划分
不可划分
用户自定义
IP规则
基础网络内唯一
VPC内唯一,VPC间可重复
IP分配
随机分配,不可修改
VPC内随机分配,可自定义
互通规则
账号内互通
VPC内互通,VPC间隔离
私有网络允许您自定义自己的网络空间,并控制您的网络流量方向,您也可以利用私有网络的网络ACL、安全防火墙为云主机提供细致的访问控制。
问:
如何开始使用私有网络?
用户可以随时在控制台创建私有网络、划分子网并添加云主机。
私有网络也支持API调用的使用方式。
问:
私有网络的使用如何收费?
创建和使用私有网络本身不另收费用,私有网络内云主机按照网上公布的单价收取费用。
如果您需要VPN加密通道将私有网络与自有IDC互联,需要额外购买VPN网关。
如果您需要专线将私有网络与自有IDC互联,需要额外支付专线接入所需费用。
问:
VPN网关如何计费?
按月收费,价格包含网关主机、驱动license和VPN网关的公网带宽,具体如下表所示:
计费模式
配置(Mbps)
单价
带宽按月
预付费
(元/月)
5
380
10
880
20
1880
50
4880
100
9880
问:
VPN连接是否提供SLA服务协议保障?
不会,VPN连接稳定性依赖运营商公网质量,暂时无法提供SLA服务协议保障。
问:
专线接入如何计费?
私有网络中创建专线网关不收费,接入专线需要按年收取专线接入费用,具体费用根据互联IDC所在地不同而有所不同,其中北、上、广、深四市接入较其他城市价格有大幅优惠。
问:
从私有网络中使用CDB、Nosql等其他云服务会产生哪些使用费?
CDB、Nosql等其他云服务在私有网络中价格与基础网络中保持一致,不额外收取费用。
问:
私有网络有哪些连接出口?
●Internet(主机通过自有公网IP)
●Internet(公网网关转发)
●VPN网关(基于公网的IPsec加密通道)
●专线网关(基于运营商专线的互联)
●对等连接(私有网络之前流量访问)
问:
如何将私有网络与Internet连接?
私有网络内云主机可以通过主机自带公网IP或公网网关转发访问Internet。
问:
公网网关是否有带宽限制,可用性如何?
公网网关目前支持最大100Mbps出口带宽,如果需要更多出口带宽,可以购买更多公网网关形成公网出口集群。
通过在路由表中配置相同的目的端路由,转发流量可以在公网网关间自负载均衡。
(注:
该负载均衡暂时不支持健康检查,如果公网网关故障可能导致流量丢失)
问:
VPN网关是如何实现的,可用性如何?
VPN网关是通过软件虚拟化实现,通过两个VSR子机冗余实现。
双子机为热备份,单台故障时另外一台可以无缝切换至备份机,不影响业务正常运行。
VPN通道在公网中运行,公网网络阻塞、抖动会对VPN网络质量有影响。
如果业务对延时、抖动敏感,建议通过专线接入私有网络。
问:
什么是IPsec?
IPsec是一个协议套件,通过验证和加密数据流的每个IP数据包来保护Internet协议(IP)通信安全。
问:
IPsecVPN接入对自有网关有哪些要求?
目前VPN网关支持绝大多数市面上VPN网络设备,IPsec通道支持控制台界面配置参数,满足多样化适配需求。
问:
专线接入可用性如何?
专线支持双线热备接入,双线接入点供电、网络管道完全隔离,专线网关通过集群方式实现,全路线无单点故障风险。
问:
各种网关是否支持NAT接入?
公网网关支持NAT接入,用户需要登录到主机上自行配置;专线网关、VPN网关暂时不支持NAT接入。
问:
私有网络中可以使用哪些IP地址范围?
私有网络支持三个网段的内网IP:
10.a.0.0/8(a属于0~255)、172.b.0.0/16(b属于16到31)、192.168.0.0/16。
私有网络的CIDR可以为以上三个网段,或者是网段中的一部分。
问:
可以创建多大的私有网络?
目前,私有网络目前支持大小在/28(CIDR表示法)和/16之间的私有网络。
问:
可否更改私有网络大小?
不会。
目前,要更改私有网络的大小,您必须终止当前的私有网络并新建一个。
问:
每个私有网络可以创建多少个子网?
目前,每个私有网络可以创建10个子网。
如果您希望创建更多子网,请在支持中心提交案例。
问:
子网的大小是否有限制?
子网的大小下限为/28(或14个IP地址)。
子网的大小不能超过在其中创建它们的私有网络。
问:
可否使用分配给某个子网的所有IP地址?
不会。
腾讯云保留了各个子网的前面两个IP地址和最后一个IP地址,以作IP联网之用。
问:
如何将私有IP地址分配给私有网络中的云主机?
用户想私有网络中添加云主机时,系统会在指定子网内默认随机分配一个内网IP,您可以在子机创建后重新指定每台云主机的内网IP。
问:
可否在私有网络中的云主机运行或停止时,更改其私有IP地址?
私有网络内云主机IP地址可以在主机“运行中”或关机状态下进行更改。
问:
私有网络的云主机更改其私有IP地址是否会导致主机重启,需要多久?
云主机更改私有IP地址会导致主机重启,耗时根据操作不同会有一定差异,一般2min左右。
问:
如果私有网络中云主机已停机,可否在同一私有网络中启动IP地址相同的另一实例?
不可以,云主机在隔离状态已然会占用私有网络内云主机,需要完全清楚后才可以再次复用此IP。
问:
可否同时为多个云主机分配IP地址?
不可以,您一次只能为一个云主机指定IP地址。
问:
可否将多个私有IP地址分配给一个实例?
不可以,目前私有网络内一台主机只能绑定一个私有IP。
问:
可否将多个公网IP地址分配给私有网络内的云主机?
不可以,目前私有网络内一台云主机只能绑定一个公网IP。
问:
可否修改私有网络路由表?
可以。
您可以修改路由规则,指定将哪些子网路由到公网网关、VPN网关、专线网关等。
问:
可否为每个子网指定不同的路由?
可以。
您可以创建多个路由表,分别绑定不同子网。
问:
私有网络是否支持多播或广播?
不支持。
问:
如何确保在私有网络中运行的云主机安全?
可以通过安全防火墙和网络ACL确保云主机安全。
安全防火墙可用于指定允许云主机的进站和出站网络流量,非允许进出实例的流量都将被自动拒绝。
网络ACL主要用于子网层面的网络进出流量控制。
问:
私有网络中安全防火墙和私有网络中的网络ACL有什么区别?
私有网络中的安全防火墙用于指定云主机的出入流量访问控制,网络ACL则在子网级别上运作,评估进出某个子网的流量。
安全防火墙和网络ACL均可通过设置允许和拒绝规则来进行使用。
网络ACL不能筛选同一子网中实例之间的流量。
此外,网络ACL执行无状态筛选,而安全组则执行有状态筛选。
问:
有状态筛选和无状态筛选有什么区别?
有状态筛选可跟踪请求的来源,并可自动允许将请求的回复返回到来源计算机。
无状态筛选则相反,仅检查来源或目标IP地址和目标端口,而忽略流量是新请求还是对请求的回复。
问:
私有网络中云主机是否支持SSH密钥对?
支持,私有网络内云主机支持SSH秘钥。
问:
私有网络云主机可否与基础网络中的云服务通信?
部分可以。
通过开启私有网络与基础网络互通功能,您可以指定基础网络主机与特定私有网络关联,实现主机之间通信,其中私有网络主机无法访问基础网络内其他云服务,基础网络内主机可以访问私有网络的数据库、缓存、内网负载均衡等服务。
问:
私有网络中的云主机可否与同地域中私有网络的云主机实例通信?
可以。
通过使用私有网络对等连接,同地域的私有网络可以通过建立对等连接实现私有网络间资源的互通。
资源互通包括了云主机互访,云主机跨私有网络访问数据库、缓存、内网负载均衡等服务。
问:
私有网络中的云主机可否与不同地域中私有网络的云主机实例通信?
可以。
跨地域私有网络的云主机互访有两种方式:
1、通过云主机自带公网BGPIP相互访问,跨地域的公网BGP访问有带宽保障,较普通公网访问延时低,可靠性高;2、通过私有网络的VPN网关之间建立加密的VPN通道实现互联。
问:
私有网络支持在哪些地域使用?
私有网络目前支持广州、上海、香港和北美四个地域。
问:
私有网络是可否跨可用区部署?
可以,私有网络可以在地域内多个可用区之间部署。
问:
子网是可否跨可用区部署?
不可以,子网内云主机只属于一个可用区。
但内网负载均衡、数据库、缓存等服务是地域级部署,只占用子网内网IP,与云主机不同。
问:
如何在子网中新建一台云主机?
您需要先创建好私有网络并划分子网,网络建设完成后,云主机购买页中即可选择该子网创建云主机。
问:
如何确定我的子网所在的可用区?
创建子网时,可用区为必要选项;子网创建后您可以在子网的属性列表中查询到可用区标记。
问:
是否要为不同子网中实例之间的网络带宽支付费用?
不需要,您无需为地域内跨可用区的网络服务支付费用。
问:
一个私有网络中可启用多少个云主机?
您可以在一个私有网络中运行任意数量的云主机,只要私有网络设置了适当的大小,以便为每台云主机分配一个IP地址。
私有网络的大小上限为/16(65536个IP)。
如果要超过以上限制,请与我们联系。
问:
私有网络支持哪些计费类型的云主机?
私有网络支持目前所有计费类型的云主机。
问:
可否将现有基础网络内云主机添加至私有网络中?
不可以,目前仅支持基础网络和私有网络的互联实现主机互访,不支持主机切换所在网络。
问:
云主机可以更换主机的所属私有网络么?
不可以,云主机一旦选择了私有网络便不可变更。
问:
云主机可以更换主机的所属子网么?
可以,平台支持云主机在可用区内更换子网,当然只可以在私有网络内更换子网。
问:
能否创建连接到不同地域的私有网络对等连接?
不能。
对等连接只限在相同地域中的私有网络之间建立。
问:
能否将我的私有网络对等连接到其他腾讯云账户的私有网络?
可以,只要其他私有网络的所有者接受您的对等连接请求。
问:
能否将IP地址范围重叠的两个私有网络进行对等连接?
不能。
对等连接的私有网络IP范围必须不能重叠。
问:
私有网络对等连接如何收费?
对等连接服务免费。
问:
用户IDC主机能否通过VPN或专线访问对等连接的私有网络内云主机?
不可以,用户IDC主机仅可以通过VPN通道或专线通道访问私有网络内云主机。
问:
私有网络对等连接流量是加密的吗?
不是。
对等连接建立后,两个私有网络之间的互访与同一个私有网络内两台云主机互访相同,没有做额外加密。
私有网络内的网络流量自始至终与其他网络之间是隔离保密的。
问:
如果我删除了对等连接,另一边还能访问我的私有网络吗?
不能。
对等连接任意一方可以随时中断对等连接。
中断后两个私
升级会员 